چارچوب مدیریت ریسک ISO 31000 یک استاندارد بین‌المللی است که دستورالعمل‌ها و اصولی را برای مدیریت ریسک از سازمان بین‌المللی استاندارد ارائه می‌کند. طرح‌های انطباق با مقررات معمولاً مختص یک کشور خاص است و برای مشاغل با اندازه خاص یا مشاغل در صنایع خاص قابل اعمال است. با این حال، ISO 31000 برای استفاده در سازمان ها با هر اندازه ای طراحی شده است. مفاهیم آن در بخش عمومی و خصوصی، در مشاغل بزرگ یا کوچک و سازمان های غیرانتفاعی به یک اندازه خوب کار می کند.

چارچوب و دستورالعمل ISO 31000

چارچوب مدیریت ریسک از شش حوزه مجزا تشکیل شده است:

رهبری. رهبران درون سازمان باید ابتکار عمل را به کار گیرند تا مطمئن شوند که ISO 31000 به گونه ای اتخاذ و اعمال می شود که با فرهنگ و اهداف تجاری سازمان همسو باشد.

ادغام. در حالی که ادغام کاهش ریسک در بسیاری از فرآیندهای سازمانی مهم است، مهم است که باعث ایجاد تنگناهای عملیاتی یا مانعی برای انجام فرآیندهای تجاری اصلی نشود.

طرح. سازمان ها باید یک استراتژی مدیریت ریسک طراحی کنند که برای سازمان بر اساس نیازهای آن کار کند.

پیاده سازی. فرآیند پیاده سازی، طراحی مدیریت ریسک سازمان را در فرآیندهای تجاری یکپارچه می کند. پیاده سازی معمولاً یک فرآیند رسمی با اهداف، ضرب الاجل ها و الزامات گزارش دهی است.

ارزیابی. ارزیابی طرح را ارزیابی می کند تا مشخص کند چه چیزی کار می کند و چه چیزی ممکن است نیاز به اصلاح داشته باشد.

بهبود. سازمان ها باید به طور مداوم به دنبال راه هایی برای بهبود اجرای ISO 31000 خود باشند.

iso-31000

اصول مدیریت ریسک ISO 31000

ISO 31000 به دنبال کمک به سازمان ها برای اتخاذ رویکردی روشمند برای مدیریت ریسک با انجام سه کار کلیدی است:

  • شناسایی خطرات
  • احتمال وقوع یک رویداد مرتبط با یک ریسک شناسایی شده را ارزیابی کنید
  • تعیین شدت مشکلات ناشی از وقوع رویداد

به این ترتیب، ISO 31000 به دنبال حذف خطرات نیست، زیرا حذف کامل همه خطرات غیرممکن است. در عوض، به منظور کمک به سازمان ها در شناسایی خطرات خود و ایجاد استراتژی برای کاهش یا کاهش خطرات در صورت لزوم است.

هشت اصل اصلی در ISO 31000 وجود دارد:

  • شامل. برای موفقیت آمیز بودن تلاش ها، همه ذینفعان کلیدی سازمان باید درگیر شوند.
  • پویا. سازمان ها در طول زمان تغییر می کنند. به این ترتیب، منابع ریسکی که امروز برای یک سازمان مرتبط هستند، ممکن است فردا تغییر کنند. اگر می‌خواهند تلاش‌های کاهش ریسک آنها به کار خود ادامه دهند، سازمان‌ها باید تحلیل مستمر ریسک را انجام دهند.
  • بهترین اطلاعات موجود تلاش‌های کاهش ریسک باید بر اساس بهترین و جدیدترین اطلاعات موجود باشد. با این حال، سازمان ها باید این ایده را نیز بپذیرند که ریسک های پیش بینی نشده همیشه وجود خواهند داشت.
  • عوامل انسانی و فرهنگی عوامل انسانی و فرهنگی می توانند محرک های اصلی خطرات باشند. فهرست ریسک های شناسایی شده باید شامل ریسک های مرتبط با خطای انسانی یا فرهنگ منحصر به فرد سازمان باشد.
  • پیشرفت مداوم. پایبندی طولانی مدت به ISO 31000 به معنای اتخاذ اصول بهبود مستمر است تا اطمینان حاصل شود که تلاش های کاهش ریسک سازمان در طول زمان بهبود می یابد.
  • ادغام. مفاهیم کاهش ریسک و شناسایی باید در تمام فرآیندهای تجاری ادغام شود.
  • ساختارمند و جامع. سازمان ها باید یک استراتژی جامع کاهش ریسک ایجاد کنند که به همه خطرات شناخته شده رسیدگی کند.
  • سفارشی. از آنجایی که هر سازمانی منحصر به فرد است، مفاهیم ISO 31000 باید به گونه ای اعمال شود که به طور سفارشی برای سازمان طراحی شده باشد.

مزایا و چالش های استاندارد ISO 31000

پذیرش استاندارد ISO 31000 مزایای متعددی دارد که از جمله آنها می توان به موارد زیر اشاره کرد:

  • اثربخشی اثبات شده از آنجایی که ISO 31000 یک استاندارد بین المللی شناخته شده است، سازمان های بی شماری از آن استفاده می کنند. این بدان معناست که ISO 31000 به طور کامل مورد بررسی قرار گرفته و موثر بودن آن ثابت شده است.
  • کاهش مواجهه قانونی با شناسایی محرک های کلیدی، سازمان ها ممکن است قادر به کاهش مواجهه قانونی خود و کاهش خطرات ناشی از دعوی قضایی باشند.
  • خطرات را در یک روش استاندارد بررسی کنید. زمانی که ISO 31000 به درستی پیاده سازی شود، می تواند به عنوان الگویی عمل کند که به سازمان ها کمک می کند تا محرک های اصلی ریسک را شناسایی کنند. معیارهای خطر و درمان های خطر را به روشی استاندارد تعیین می کند.
  • فرهنگ کاهش ریسک را ایجاد کنید. با گنجاندن کاهش ریسک در تقریباً تمام فرآیندهای تجاری، کارکنان به ایده شناسایی و کاهش احتمالی خطرات عادت خواهند کرد.
  • افزایش سودآوری سازمان. هنگامی که یک سازمان خطرات غیر ضروری را کاهش می دهد، احتمال آسیب مالی ناشی از رویدادهای مرتبط با آن خطر را نیز کاهش می دهد.
  • از آنچه در حال حاضر موجود است استفاده کنید. ISO 31000 تنها یکی از استانداردهای ISO است. استانداردهای مختلف برای کار با هم طراحی شده اند، به این معنی که سازمان ها ممکن است بتوانند کاری را که قبلا انجام داده اند را در استراتژی ISO 31000 خود بگنجانند.
  • می تواند سازمان را به سمت پیشگیرانه تر شدن سوق دهد. یک پیاده سازی خوب ISO 31000 می تواند به سازمان کمک کند تا از واکنش پذیری به رویکردی فعال تر در کاهش ریسک تغییر مسیر دهد.
  • ممکن است به سازمان کمک کند تا به راحتی بودجه خود را بدست آورد. بانک ها و سرمایه گذاران تمایل به ریسک گریزی دارند. اگر سرمایه‌گذار متقاعد شود که سازمانی در شناسایی و کاهش ریسک‌ها جدی است، احتمالاً سرمایه‌گذاری را تأیید می‌کند.

اگرچه استفاده از ایزو 31000 مزایای آشکاری دارد، اما حداقل چالش هایی نیز وجود دارد که باید در نظر گرفته شوند، از جمله موارد زیر:

  • پایبندی مستلزم تلاش مستمر است. اگر سازمانی نتواند مفاهیم ISO 31000 را در فرآیندهای تجاری بگنجاند، طرح کاهش ریسک ایجاد شده به سرعت منسوخ شده و احتمالاً توسط کارکنان نادیده گرفته خواهد شد.
  • پتانسیل احساس امنیت کاذب حتی با وجود یک برنامه کاهش ریسک موثر، سازمان ها باید به خاطر داشته باشند که همیشه خطرات ناشناخته وجود خواهد داشت.
  • سازمان ها می توانند ریسک گریز شوند. ریسک گریزی می تواند سرمایه گذاری بر روی فرصت های جدید را برای سازمان دشوار کند.

ISO-31000-Infographic

نحوه اجرای موثر ISO 31000

هر سازمانی باید رویکردی منحصر به فرد نسبت به ISO 31000 داشته باشد زیرا هر سازمانی متفاوت است. با این حال، ISO سه مرحله کلیدی را برای شروع مشخص می کند:

  • از اهداف آگاه باشید استراتژی کاهش ریسک یک سازمان باید با اهداف تجاری آن همخوانی داشته باشد، نه اینکه مانعی برای آنها ایجاد کند.
  • ارزیابی حاکمیت موجود سازمان‌های بزرگ‌تر احتمالاً در حال حاضر ساختار حاکمیتی دارند. ساختار موجود ممکن است در فرمول بندی نقش ها و رویه های مربوط به ISO 31000 مفید باشد.
  • سطح تعهد را در نظر بگیرید. قبل از اجرای ISO 31000، سازمان ها باید منابعی را که مایل به سرمایه گذاری در تلاش های کاهش ریسک خود هستند، در نظر بگیرند.

در حالی که پیروی از مراحل پیاده سازی را می توان به ترتیب انجام داد، آنها نیز باید به طور مداوم تکرار شوند.

  • ارتباط و مشاوره. هدف این مرحله افزایش آگاهی و درک در بین ذینفعان و همچنین جمع آوری ورودی و اطلاعات برای کمک به تصمیم گیری است. باید در تمام مراحل فرآیند پیاده سازی انجام شود.
  • محدوده، زمینه و معیارها. هدف از این سه مرحله، سفارشی سازی ISO 31000 با نیازهای مدیریت ریسک شرکت است. سازمان ها باید از گستردگی اجرای مدیریت ریسک آگاه باشند. آنها همچنین باید محیط داخلی و خارجی شرکت را درک کنند. در نهایت، سازمان باید معیارهایی را بر اساس اولویت ها، اهداف و سیاست های شرکت تعیین کند. معیارها باید در طول فرآیند اجرا مورد ارزیابی مجدد قرار گرفته و در صورت لزوم اصلاح شوند.
  • ارزیابی ریسک این مرحله از سه فرآیند جداگانه زیر تشکیل شده است:
    • شناسایی خطر. هدف یافتن و تعریف ریسک هایی است که می تواند به اهداف تجاری یک شرکت آسیب برساند یا مانع از آن شود.
    • تحلیل ریسک. هدف ارزیابی و درک هر گونه ریسک و ویژگی های آنها از جمله سطح ریسک، پیچیدگی، منابع، احتمال، شرایط و کنترل های موثر است.
    • ارزیابی ریسک. هدف این است که تجزیه و تحلیل ریسک را با معیارهای ریسک مقایسه کنیم تا مشخص شود که در کجا اقدام لازم است و از آن تصمیمات حمایت شود.

  • درمان خطر. هدف از این مرحله انتخاب و اعمال گزینه های مدیریت ریسک است.

  • نظارت و بررسی. این مرحله باید در تمام مراحل فرآیند اجرا انجام شود. هدف ارزیابی اثربخشی اجرای فرآیند و یافتن هر جایی برای بهبود است.

  • ضبط و گزارش. هدف این مرحله مستندسازی فرآیند اجرا و انتقال فعالیت ها و نتایج به سازمان است.